Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   доступ к рабочему столу пользователям домена (http://forum.oszone.net/showthread.php?t=2428)

xlightx 20-07-2004 11:00 14691
Подскажите, как запретить пользователям домена доступ к рабочему столу на клиентсих машинах с win2000 и winXP средствами win200 server

Master Bob 20-07-2004 14:10 14692
если удаленный рабочий стол, то
через GPO .
как я понимаю, создаёшь группу, туда кидаешь машины для запрета и делаешь "дени логон терминал сервис"

xlightx 20-07-2004 16:07 14693
а где это в групповой политике?

ZZX 20-07-2004 16:48 14694
если имеется в виду desktop - то как тогда пользователям вообще работать???? - уточни вопрос
если remote desktop то:
1) если используются стандартные средства  винды то к 2000 pro нельзя удаленно подключиться.
2) для ХР control panel->system->remote access
3) для 2000 server-а если terminal server работает в administrative mode то никто кроме админов попасть на сервер не может
 в application mode все кому это разрешено политикой безопасности.
4)при использовании сторонних средв надо смотреть доки к ним

xlightx 20-07-2004 17:07 14695
Не понял, а почему я не могу запретить пользователям редактировать свой собственный рабочий стол?
и как это повлияет на их работу?

SkyF 20-07-2004 17:49 14696
xlightx
если есть у вас домен, то создайте групповую политику на организационное подразделение ( можно новое создать и переместить в него необходимые учетные записи).
далее в настройках ГП переходите в раздел:
конфигурация пользователей - Административные шаблоны - рабочий стол и настраивайте что хотите.
а хотеть вы можете только вот это:
Скрыть все значки на рабочем столе

Удалить значок "Мои документы" с рабочего стола
Удалить значок "Мои документы" из главного меню
Удалить команду "Свойства" из контекстного меню папки "Мои документы"
Удалить команду ''Свойства'' из контекстного меню объекта ''Мой компьютер''
Убрать значок "Мое сетевое окружение" и рабочего стола
Не показывать значок Internet Explorer
Не добавлять общие папки, из которых открыты документы в "Мое сетевое окружение"
Запретить пользователям изменять путь папки "Мои документы"
Запретить перетаскивание и закрытие всех панелей инструментов на панели задач
Запретить изменение расположения панелей инструментов рабочего стола
Не сохранять параметры настройки при выходе

+ еще по эктив десктоп немного

xlightx 20-07-2004 17:52 14697
:))) во-во...
т.е. я не могу запретить пользователям забрасывать свои рабочие столы ярлыками, которые я потом оттуда по их же просьбам и удаляю...верно?

SkyF 21-07-2004 02:40 14698
xlightx
можно сделать принудительный профиль.. это наверно не выход. тогда вообще ничего не иземенить.

можно запретить пользователям право записи в каталог %USERPROFILE%\Рабочий стол

например через ГП опять же, но только в разделе для конфигурации компьютера - параметры WIndows - файловая система
указать этот маршрут и выставить дополнение списков безопасности для этого пути (только предварительно просмотрите какие уже имеются разрешения для этих каталогов и добавьте запрет записи для определенной группы, а авминам оставьте)

не забудьте протестировать сначала на отдельном компьютере, который будет помещен в тестовое подразделение, с тестовой же ГП, а не сразу на уровне домена лепите, а то эти игры со списками безопасности до добра не доводят.
удачи.

ЗЫ Резервные копии спасут мир.

bulker 21-07-2004 09:24 14699
xlightx
думаю в англиском варианте найти будет не трудно: панель управления - управление - локальные политики безопасности - локальные политики - назначение прав пользователей - там в разделе "отклонить локальный вход в систему" добавляешь "сеть" и все никто на твой сервер из сети не залезет кроме как к расшаренным ресурсам - прверенно работает
да могу прислать  FAQ-HELP на русском? весит 262к


Время: 22:02.

Время: 22:02.
© OSzone.net 2001-